Passer au contenu

2. Les points critiques sont difficiles à identifier

Des arbitrages entre risque et coût doivent être faits. Les entreprises peuvent alors trouver de l’aide auprès des SSII ou de spécialistes.

Experts et entreprises sont unanimes : une politique de sécurité ne se définit pas seul, et la sécurité absolue n’existe pas. Difficile, en effet, pour une entreprise d’avoir une vision globale – physique et logique – de l’ensemble des problèmes liés à la sécurité de son système quand elle est plongée dedans. Les expériences Melissa ou I love you ont démontré que même de grandes entreprises ne sont pas à l’abri d’attaques dévastatrices.
Ainsi, anticiper les risques par le biais d’une politique générale de sécurité consiste à identifier clairement, d’un côté, les applications et accès critiques qu’il faut sécuriser, et, de l’autre, les risques résiduels qui ne peuvent être prévenus. Pour ces derniers, l’entreprise a globalement trois solutions : ignorer le risque (éventualité d’une attaque peu probable), l’assurer, ou bloquer des fonds pour absorber les coûts d’une attaque. Cette dernière option convient à certains risques considérés comme trop onéreux à assurer. A l’heure du choix, la balance penchera – c’est certain – du côté le plus économique. En ce qui concerne les applications, il faudra donc choisir entre un niveau général de sécurité pour la majorité et une protection plus particulière pour certains environnements critiques.

Les fournisseurs de services viennent sur ce marché

En raison des coûts induits, tout le système ne peut bénéficier d’un haut niveau de sécurité dès le départ. “Il faut raisonner en termes de non-sécurité pour faire son choix entre le coût des risques et celui de leur protection”, indique Philippe Lemaire, responsable marketing de CF6. Choix que la plupart des entreprises effectuent en multipliant les sources d’information et de conseil. Or, si les grandes SSII sont présentes sur le marché des prestations de sécurité, on a également vu apparaître, ces derniers mois, des fournisseurs de services spécialisés dans le conseil, les études et les audits, tant les risques ont évolué avec l’ouverture des systèmes à internet. “Ils ont une expertise et une expérience des problèmes qu’une entreprise seule ne peut pas avoir”, assure Jean-Paul Godard, manager des risques opérationnels à la direction des risques de la Société Générale. Mais ces prestations ne suffisent pas pour définir une politique générale de sécurité et, surtout, la maintenir à jour.

Des réunions d’information au ministère de l’Intérieur

De plus en plus d’entreprises s’organisent, en effet, en associations pour partager leurs expériences et mutualiser leurs ressources afin de contrer le piratage. Le ministère français de l’Intérieur prend d’ailleurs très au sérieux le changement d’échelle intervenu avec internet et organise des réunions d’information. Enfin, une troisième source d’information et de conseil émanant d’internet (forums, sites, etc. ) constituerait, au dire de certaines entreprises, l’aide la plus pointue et la plus réactive. A condition, bien sûr, qu’elles disposent d’un service de veille compétent pour les consulter et en tirer les enseignements.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Marie Varandat